יאללה בלאגן: רוסיה, בלארוס וסין תוקפות בסייבר את אוקראינה ומדינות באירופה

על רקע פלישת רוסיה לאוקראינה, האקרים שלוחי המדינות  רוסיה, בלארוס וסין הגדילו את היקף המתקפות שלהם בסייבר נגד ממשלות אוקראינה, פולין ועוד מדינות באירופה, כך לפי חוקרי איומים בגוגל. מתקפות הסייבר הן מגוונות: החל מניסיונות ריגול ועד למסעות פישינג.

קבוצת ההאקרים שמוצאה מרוסיה ידועה בכינוי Fancy Bear, או APT28 ומקורה ב-GRU, המודיעין הצבאי הרוסי. בעבר הקבוצה תקפה יותר מ-200 ארגונים בארה"ב, כולל קמפיינים פוליטיים, קבוצות תמיכה, מפלגות ויועצים פוליטיים – לקראת הבחירות לנשיאות ארה"ב בנובמבר 2020. הקבוצה אף צוינה בדו"ח החוקר המיוחד רוברט מולר, שבחן את התערבות רוסיה בבחירות 2016 ואת תקיפתה את המפלגה הדמוקרטית. הקבוצה פעילה מספטמבר 2019.

שיין הנטלי, מנהל TAG, קבוצת ניתוח האיומים של גוגל, כתב שלשום (ב') בפוסט בבלוג, כי החוקרים בראשותו זיהו פעילות של קבוצת הדוב המגונדר, כשהיא עורכת כמה קמפיינים גדולים של דיוג – שמטרתם השגת אישורי גישה – שכוונו כנגד UkrNet , חברת מדיה אוקראינית. שני הקמפיינים האחרונים, לדבריו, כללו דומיינים חדשים שנוצרו ב-Blogspot כדפי נחיתה ראשוניים, ולאחר מכן הפנו יעדים לדפי התחזות.

בנובמבר האחרון פורסם, כי ממשלת בלארוס אחראית, באורח חלקי, למבצע השפעה בסייבר שנמשך שנים – נגד לטביה, ליטא ופולין, כך לפי מחקר של מנדיאנט (Mandiant). על פי החוקרים, מבצע "סופר הרפאים", Ghostwriter, הוא "מסע תעמולה שדחף נרטיבים מזויפים על נאט"ו ועל נושאים הקשורים לנגיף הקורונה. המבצע הוא פרי עבודתה של בלארוס, כולל צבא המדינה, והוא היווה חלק ממאמץ כולל לפרוץ, להדליף מידע, לזהם את השיח הפוליטי בנרטיבים מועצמים ולאסוף מידע". חוקרי הגנת סייבר טענו כי המבצע תואם את האינטרסים הרוסיים.

בשבוע האחרון, חוקרי גוגל הבחינו בפעולת פריצה של חברי הקבוצה, המכונה UNC1151 – המנהלת מסעות פישינג נגד ארגונים ממשלתיים וצבאיים של פולין ואוקראינה.

לפני ימים אחדים, השירות הממלכתי של אוקראינה לתקשורת ולהגנה על מידע פרסם אזהרה על מתקפת דיוג נגד כתובות מייל אזרחיות, המכילות קבצים מצורפים שעלולים להיות זדוניים. על פי אותם פקידים מאוקראינה, את קמפיין הפישינג עורכת קבוצת האקרים ממינסק, המכונה UNC1151, שלדעת כמה חברות אבטחה קשורה לממשלת בלארוס. החוקרים אמרו כי המתקפות הללו נועדו לקדם נרטיבים פרו-רוסיים ופרו-בלארוסיים. בעבר הם קישרו את פעילות חברי UNC1151 למבצע השפעה מורכב וארוך שנים, אשר כוון כנגד לטביה, ליטא ופולין.

רוסיה לא לבד

חוקרי קבוצת ניתוח האיומים של גוגל הודיעו, כי זיהו קבצי צרופות זדוניים, המכוונים לגופים אירופיים, והכוללים פיתיונות הקשורים לפלישה האוקראינית. החוקרים ייחסו את הפעילות לקבוצת פריצה סינית הידועה בשם Mustang Panda או Temp.Hex. לדברי החוקרים, מדובר בשינוי כיוון גיאוגרפי של חברי הקבוצה, שעד כה התמקדו במתקפות כלפי ארגונים ומוסדות בדרום מזרח אסיה.

על פי פרופפוינט (Proofpoint), שערכו ניתוח מפורט משלהם של אותה פעילות האקרים סינית, "הקבוצה מכוונת לישויות דיפלומטיות אירופיות, כולל אדם המעורב בשירותי פליטים ומהגרים". בניגוד לחוקרי גוגל, שאמרו שהתקפות המכוונות כלפי אירופה מהוות שינוי, הרי שלפי חוקרי פרופפוינט "מדובר בקמפיין רב-שנתי נגד ישויות דיפלומטיות באירופה – שנעשה באופן עקבי ומתמשך".